Node.js 模組 axios 0.30.4 / 1.14.1 供應鏈弱點
critical Nessus Plugin ID 304406
語言:
概要
Node.js JavaScript 執行時間環境中的一個模組受到一個供應鏈弱點影響。說明
遠端主機上安裝的 axios Node.js 模組版本為 0.30.4 或 1.14.1。因此,該版本受到供應鏈弱點影響,針對廣泛使用的 HTTP 用戶端 Axios 的供應鏈攻擊已將惡意相依性引入特定的 npm 版本,包括 [email protected] 和 [email protected]。最新版本引入了 [email protected],這是 Socket 已確認為惡意的套件。該惡意套件會部署多階段承載,包括能夠執行任意命令、洩漏系統資料並持續存在於受感染機器上的遠端存取特洛伊木馬程式 (RAT)。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
從受影響的系統中移除 axios 1.14.1 和 0.30.4 版,並更新至不受此弱點影響的最新版 axios。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 304406
檔案名稱: npm-axios-supply-chain-31-03.nasl
版本: 1.2
類型: Local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/3/31
已更新: 2026/4/1
支援的感應器: Nessus Agent, Nessus
弱點資訊
CPE: cpe:/a:axios:axios
必要的 KB 項目: installed_sw/Node.js, Host/nodejs/modules/enumerated
修補程式發佈日期: 2026/3/31
弱點發布日期: 2026/3/31